Microsoft Exchange Server Sicherheitslücke bei der Remotecodeausführung

Microsoft Exchange Server ist nach wie vor einwertvollesZiel für Bedrohungsakteure, da es eng mit den Identitätssystemen des Unternehmens, der E-Mail-Infrastruktur und privilegierten Dienstkonten verbunden ist. Schwachstellen bei der Remote-Code-Ausführung (RCE) in Exchange wurden in der Vergangenheit fürgroßangelegteSpionagekampagnen, die Bereitstellung von Ransomware und dauerhafte Zugriffsoperationengenutzt.

CVE-2026-33824ist eine neu entdeckte kritische Sicherheitslücke, dielokaleMicrosoft Exchange Server-Bereitstellungenbetrifft. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, aus der Ferne beliebigen Code im Exchange Server-Kontext auszuführen, was zu einer vollständigen Kompromittierung des Systems führen kann. Bei erfolgreicher Ausnutzung der Schwachstelle können Angreifer Web-Shells installieren, sich seitlich bewegen, vertrauliche Daten ausspähen odernachfolgendeNutzdaten wie Ransomwareinstallieren.

Details zur Sicherheitsanfälligkeit

• CVE-ID:CVE-2026-33824
• Art der Sicherheitsanfälligkeit:Entfernte Code-Ausführung (RCE)
• Angriffsvektor:Netzwerk (unauthentifiziert)
• Authentifizierung erforderlich:Nicht
• Benutzerinteraktion erforderlich:Nicht

Auswirkungen

WennCVE-2026-33824erfolgreich ausgenutzt wird,kann ein Angreifer beliebigen Code auf dem zugrunde liegenden Exchange Server mit den Rechten der Exchange-Anwendung ausführen. Dies kann dazu führen:

• Vollständige Kompromittierung des Exchange-Servers
• Diebstahl von E-Mail-Inhalten und Anmeldeinformationen
• Einsatz von Web-Shells und Backdoors
• Seitliche Verschiebung zum Active Directory
• Ausführung von Ransomware oder destruktiven Nutzdaten

Betroffene Versionen

Die Sicherheitslücke betrifft die folgenden Microsoft Exchange Server-Versionen vor den letzten Sicherheitsupdates:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Hinweis:Cloud-gehostetesExchange Online istnicht betroffen.

Empfohlene Abhilfemaßnahmen

Sofortige Maßnahmen

Sicherheitsupdates anwenden

• Installieren Sie die neuesten Exchange Server-Sicherheitsupdates von Microsoft, dieCVE-2026-33824betreffen.
• Überprüfen Sie die erfolgreiche Installation für alle Exchange-Rollen.

• Schränken Sie den öffentlichen Zugriff auf Exchange-Dienste vorübergehend ein, sofern dies möglich ist.
• Schränken Sie den Zugang durchKontrollenaufNetzwerkebene(Firewalls, VPNs) ein.

• Überprüfen Sie die IIS-Protokolle auf abnormale POST-Anforderungen oder verdächtige URL-Muster.
• Überprüfen Sie Exchange-Verzeichnisse auf unerwartete.aspx-Dateien und potenzielle Web-Shells.

• Stellen Sie sicher, dass die PowerShell-Protokollierung, die IIS-Protokollierung und die Windows-Ereignisprotokollierung aktiviert sind und beibehalten werden.

Wenn eine Abhilfe nicht sofort möglich ist

Wenn das Patchen nicht sofort abgeschlossen werden kann, sollten Unternehmen die folgenden temporären Kontrollen implementieren:

• Setzen Sie eine Web Application Firewall (WAF)-Regel ein, um verdächtige Exchange-Anfragen zu erkennen oder zu blockieren.
• Deaktivieren Sie nicht benötigte Exchange-Endpunkte (z. B. nicht mehr genutzte Legacy-Dienste).
• Überwachen Sie ausgehende Verbindungen von Exchange-Servern auf verdächtige Aktivitäten.
• Erhöhen Sie die Empfindlichkeit der SOC-Warnungen fürExchange-bezogeneProzesse und untergeordnete Prozesse.

Wichtig:Temporäre Abhilfemaßnahmen ersetzen kein Patching und sollten nur dazu verwendet werden, die Gefährdung zu verringern, bis Updates eingespielt sind.

Empfehlungen für Erkennung und Überwachung

Sicherheitsteams sollten auf Folgendes achten

• Ungewöhnliches Verhalten von IIS-Arbeitsprozessen (w3wp.exe)
• Exchange, der unerwartete Kindprozesse erzeugt (z. B.cmd.exe,powershell.exe)
• Erstellung neuer lokaler oder Domänenkonten
• Unerwartete geplante Aufgaben oder Dienste
• Nicht autorisierte ausgehende Verbindungen von Exchange-Servern

CVE-2026-33824stellt eine kritische und dringende Bedrohung für Unternehmen dar, dieMicrosoft Exchange ServervorOrtbetreiben. Ausgehend von historischen Ausnutzungstrends und ersten Erkenntnissen über die Bedrohung ist eine schnelle Bewaffnung sehr wahrscheinlich. Es wird dringend empfohlen, sofortige Patches zu installieren, proaktiv nach Bedrohungen zu suchen und die Überwachung zu verbessern.

Unternehmen, die nicht sofort Abhilfe schaffen können, sollten ihre Exchange-Server als potenziell gefährdet betrachten und entsprechend reagieren.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe bei der Entscheidung benötigen, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen zu schützen, denen Ihr Unternehmen ausgesetzt ist, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.